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1. Inleiding: de ongeldigverklaring van de Veiligehavenbeschikking 

In het arrest van het Hof van Justitie van de Europese Unie (hierna "het Hof van Justitie" of 
"het Hof" genoemd) van 6 oktober 2015 in zaak C-362/14 (Schrems)^ wordt het belang van 
het fundamentele recht op de bescherming van persoonsgegevens bevestigd, dat is neergelegd 
in het Handvest van de grondrechten van de EU. Dit belang bestaat ook wanneer dergelijke 
gegevens naar landen buiten de EU worden doorgegeven. 

De doorgifte van persoonsgegevens vormt een essentieel onderdeel van de trans-Atlantische 
betrekkingen. De EU en de V.S. zijn eikaars belangrijkste handelspartners en de doorgifte van 
gegevens vormt in toenemende mate een integraal onderdeel van hun handelsbetrekkingen. 

Om deze gegevensstromen te vergemakkelijken en tegelijkertijd een hoog niveau van 
bescherming van persoonsgegevens te waarborgen, erkende de Commissie met de vaststelling 
van Beschikking 2000/520/EG van 20 juli 2000 (hierna "de Veiligehavenbeschikking" 
genoemd) dat de veiligehavenregeling een passend beschermingsniveau waarborgde. In deze 
beschikking, die is gebaseerd op artikel 25, lid 6, van Richtlijn 95/46/EG , erkende de 
Commissie dat de door het ministerie van Handel van de Verenigde Staten gepubliceerde 
veiligehavenbeginselen voor de bescherming van de persoonlijke levenssfeer en de 
begeleidende veelgestelde vragen (FAQ’s), passende bescherming boden in geval van 
doorgifte van persoonsgegevens vanuit de EU^. Dientengevolge zouden persoonsgegevens 
vrij worden kunnen worden doorgegeven vanuit de lidstaten van de EU naar bedrijven in de 
V.S. die de beginselen hebben onderschreven, ondanks het ontbreken van een algemene wet 
ter bescherming van gegevens in de Verenigde Staten. De werking van de 
veiligehavenregeling was gebaseerd op vrijwillig aangegane verplichtingen en 
zelfcertificering van ondernemingen die deze regeling onderschrijven. Het onderschrijven van 
de veiligehavenbeginselen en de EAQ's is niet verplicht, maar wanneer ze onderschreven 


^ Arrest van 6 oktober 2015 in zaak C-362/14, Maximilian Schrems tegen Data Protection Commissioner, 
EU:C;2015:650 (hierna ook "het arrest" of "het arrest Schrems" genoemd). 

^ Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming 
van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije 
verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31 (hierna "Richtlijn 95/46/EG" of "de richtlijn" 
genoemd). 

^ Voor de toepassing van deze mededeling wordt met de term "EU" ook de EER bedoeld. Derhalve moeten 
verwijzingen naar "lidstaten" tevens worden gelezen als een verwijzing naar EER-lidstaten. 
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worden, zijn zij op grond van het recht van de V.S. bindend en kan de naleving ervan door de 
Amerikaanse Federal Trade Commission worden afgedwongen"^. 

In zijn arrest van 6 oktober 2015 heeft het Hof de Veiligehavenbeschikking ongeldig 
verklaard. Tegen die achtergrond en bij ontstentenis van een ander besluit waarbij het 
beschermingsniveau passend wordt verklaard, heeft deze mededeling als doel een overzicht te 
geven van de alternatieve instrumenten voor trans-Atlantische gegevensoverdrachten uit 
hoofde van Richtlijn 95/46/EG. Ook wordt in deze mededeling een korte beschrijving 
gegeven van de gevolgen van het arrest voor andere adequaatheidsbesluiten van de 
Commissie. In het arrest heeft het Hof gepreciseerd dat de vaststelling van een 
adequaatheidsbesluit krachtens artikel 25, lid 6, van Richtlijn 95/46/EG, afhangt van de 
vaststelling door de Commissie dat in het betro kk en derde land een niveau van bescherming 
van persoonsgegevens wordt geboden dat niet noodzakelijkerwijs identiek is aan, maar wel 
"in grote lijnen overeenkomt" met het niveau dat binnen de Unie wordt gewaarborgd op grond 
van de richtlijn, gelezen in samenhang met het Handvest van de grondrechten. Wat specifiek 
de Veiligehavenbeschikking betreft, verklaarde het Hof dat deze noch over de beperking van 
de toegang van overheidsinstanties van de V.S. tot op grond van die beschikking doorgegeven 
gegevens noch over het bestaan van effectieve rechtsbescherming tegen een dergelijke 
inmenging, toereikende vaststellingen van de Commissie bevatte. Meer bepaald verduidelijkte 
het Hof dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen 
krijgen tot de inhoud van elektronische communicatie moet worden beschouwd als een 
aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven. 
Bovendien heeft het Hof bevestigd dat zelfs wanneer er sprake is van een besluit in de zin van 
artikel 25, lid 6, van Richtlijn 95/46/EG waarbij het beschermingsniveau passend wordt 
verklaard, de gegevensbeschermingsautoriteiten van de lidstaten bevoegd en verplicht blijven 
om in volledige onafhankelijkheid te onderzoeken of de doorgifte van gegevens aan een derde 
land in overeenstemming is met de vereisten van Richtlijn 95/46/EG, gelezen in het licht van 
de artikelen 7, 8 en 47 van het Handvest van de grondrechten. Het Hof heeft echter ook 
verklaard dat alleen het Hof van Justitie een handeling van de EU, zoals een 
adequaatheidsbesluit van de Commissie, ongeldig kan verklaren. 

Het arrest van het Hof is gebaseerd op de mededeling van de Commissie uit 2013 betreffende 
de werking van de veiligehavenregeling ("Safe Harbour") uit het oogpunt van EU-burgers en 
in de EU gevestigde ondernemingen^, waarin de Commissie een aantal tekortkomingen 
vaststelde en 13 aanbevelingen deed. Op basis van deze aanbevelingen heeft de Commissie 
sinds januari 2014 overleg gevoerd met de Amerikaanse autoriteiten met het oog op de 


Zie voor een grondiger overzicht van de veiligehavenregeling de mededeling van de Commissie aan het 
Europees Parlement en de Raad betreffende de werking van de veiligehavenregeling ("Safe Harbour") uit het 
oogpunt van EU-burgers en in de EU gevestigde ondernemingen, COM/2013/847 final. 

^ Mededeling van de Commissie aan het Europees Parlement en de Raad betreffende de werking van de 
veiligehavenregeling ("Safe Harbour") uit het oogpunt van EU-burgers en in de EU gevestigde 
ondernemingen, COM(2013) 847 final van 27.11.2013. Zie ook de mededeling van de Commissie aan het 
Europees Parlement en de Raad "Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS", 
COM(2013) 846 final van 27.11.2013, en het daaraan gerelateerde memorandum "Herstel van vertrouwen in 
de gegevensstromen tussen de EU en de V.S. - Veelgestelde vragen", MEMO/13/1059 van 27.11.2013. 
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invoering van een vernieuwde en versterkte regeling voor trans-Atlantische 
gegevens uitwis selingen. 

Ook na dit arrest blijft de Commissie streven naar een hernieuwd en solide kader voor de 
trans-Atlantische doorgifte van persoonsgegevens. Zij heeft dan ook onmiddellijk haar 
besprekingen met de Amerikaanse regering hervat en geïntensiveerd om ervoor te zorgen dat 
een eventuele nieuwe regeling voor trans-Atlantische doorgifte van persoonsgegevens 
volledig in overeenstemming is met de door het Hof vastgestelde normen. Een dergelijk kader 
moet daarom voorzien in voldoende beperkingen, waarborgen en gerechtelijke 
controlemechanismen om de voortdurende bescherming van de persoonsgegevens van EU- 
burgers te waarborgen, ook wat betreft de eventuele toegang van overheidsinstanties ten 
behoeve van rechtshandhaving of de nationale veiligheid. Ondertussen heeft de sector zich 
bezorgd getoond over de mogelijke voortzetting van de doorgifte van gegevens^. Het moet 
daarom duidelijk worden gemaakt onder welke voorwaarden een dergelijke doorgifte kan 
blijven plaatsvinden. Dit heeft de Groep artikel 29 - een onafhankelijk adviesorgaan, dat 
bestaat uit vertegenwoordigers van alle gegevensbeschermingsautoriteiten van de lidstaten, en 
de Europese Toezichthouder voor gegevensbescherming - ertoe gebracht om op 16 oktober 

n 

een verklaring naar buiten te brengen over de eerste conclusies die uit het arrest moeten 
worden getrokken. Deze verklaring bevatte onder meer de volgende richtsnoeren voor de 
doorgifte van gegevens: 

- de doorgifte van gegevens kan niet langer worden gebaseerd op de ongeldig 
verklaarde Veiligehavenbeschikking van de Commissie; 

- in de tussentijd kunnen modelcontractbepalingen en bindende bedrijfsvoorschriften als 
basis dienen voor de doorgifte van gegevens, hoewel de Groep artikel 29 ook heeft 
verklaard dat zij de gevolgen van het arrest voor deze alternatieve instrumenten zal 
blijven onderzoeken. 

In de verklaring werden de lidstaten en EU-instellingen voorts opgeroepen in overleg te 
treden met de autoriteiten in de V.S. voor het vinden van juridische en technische oplossingen 
voor de doorgifte van gegevens; volgens de Groep artikel 29 kunnen de onderhandelingen 
voor een nieuwe veilige haven deel uitmaken van deze oplossing. 


Vertegenwoordigers van brancheorganisaties brachten deze zorgen onder meer onder de aandacht tijdens 
een bijeenkomst die vicevoorzitter Ansip en de commissarissen Jourova en Oettinger op 14 oktober, kort na 
het arrest Schrems, organiseerden. Zie Daily News van 14.10.2015 (MEX/15/5840). Zie ook: "Open letter 
on the implementation of the CJEU Judgement on Case C-362/14 Maximillian Schrems v Data Protection 
Commissioner" (open brief over de tenuitvoerlegging van het arrest van het HvJEU in zaak C-362/14, 
Maximillian Schrems tegen Data Protection Commissioner) van 13 oktober 2015, gericht aan de voorzitter 
van de Commissie, Jean-Claude Juncker en ondertekend door verschillende brancheorganisaties en 
bedrijven uit de EU en de VS: 

http://www.digitaleurope.org/DesktopModules/Bring2mind/DMX/Download. aspx?Command=Core_Downl 
oad&Entryld=1045&Portalld=0&Tabld=353 

’ Verklaring van de Groep artikel 29, beschikbaar op de volgende website: http://ec.europa.eu/iustice/data- 
protection/article-29/press-material/press- 

release/art29 press material/2015/20151016 wp29 statement on schrems iudgement.pdf 
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De Groep artikel 29 kondigde aan dat indien eind januari 2016 met de autoriteiten van de V.S. 
geen passende oplossing is gevonden, de gegevensbeschermingsautoriteiten, afhankelijk van 
de beoordeling van alternatieve instrumenten voor de doorgifte van gegevens, alle nodige en 
passende maatregelen zullen nemen, zoals gecoördineerde handhavingsmaatregelen. 

Ten slotte heeft de Groep artikel 29 benadrukt dat het een gedeelde verantwoordelijkheid is 
van de gegevensbeschermingsautoriteiten, de EU-instellingen, de lidstaten en het 
bedrijfsleven om duurzame oplossingen te vinden ter uitvoering van het arrest van het Hof. In 
het bijzonder heeft de Groep er bij bedrijven op aangedrongen om juridische en technische 
oplossingen te overwegen die de eventuele risico’s beperken die zij bij de doorgifte van 
gegevens lopen. 

Deze mededeling doet geen afbreuk aan de bevoegdheden en de plicht van de 
gegevensbeschermingsautoriteiten om de rechtmatigheid van dergelijke doorgiften in 

o 

volledige onafhankelijkheid te onderzoeken . Zij bevat geen bindende voorschriften en 
eerbiedigt volledig de bevoegdheden van de nationale rechter om het toepasselijke recht uit te 
leggen en om, waar nodig, het Hof van Justitie een prejudiciële vraag te stellen. Ook kan deze 
mededeling geen basis vormen voor een eventuele individuele of collectieve aanspraak of 
vordering in rechte. 


2. Alternatieve gronden voor de doorgifte van persoonsgegevens naar de 

V.S. 

De in Richtlijn 95/46/EG neergelegde regels voor de internationale doorgifte van gegevens 
zijn gebaseerd op een duidelijk onderscheid tussen, enerzijds, de doorgifte van gegevens naar 
derde landen die een passend beschermingsniveau waarborgen (artikel 25 van de richtlijn) en, 
anderzijds, de doorgifte naar derde landen die geen passend beschermingsniveau waarborgen 
(artikel 26 van de richtlijn). 

Het arrest Schrems heeft betrekking op de voorwaarden waaronder de Commissie, 
overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG, kan vaststellen dat een derde land 
een passend beschermingsniveau biedt. 

Wanneer het derde land waarnaar de persoonsgegevens uit de EU moeten worden 
doorgegeven, dit passende niveau van bescherming niet blijkt te bieden, voorziet artikel 26 
van Richtlijn 95/46/EG in een aantal alternatieve gronden waarop de doorgifte niettemin kan 
plaatsvinden. Met name mogen doorgiften worden uitgevoerd wanneer de entiteit die 
verantwoordelijk is voor de vaststelling van het doel en de middelen van de verwerking van 
persoonsgegevens (de "voor de verwerking verantwoordelijke"): 

- voldoende waarborgen biedt in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG, ten 
aanzien van de bescherming van de persoonlijke levenssfeer, de fundamentele rechten en 


Zie artikel 8, lid 3, van het Handvest van de grondrechten en artikel 16, lid 2, VWEU. Deze 
onafhankelijkheid is ook door het Hof in zijn arrest Schrems benadrukt. 
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vrijheden van personen, alsmede ten aanzien van de uitoefening van deze rechten. Deze 
waarborgen kunnen met name worden geboden door middel van contractuele bepalingen 
die de exporteur en de importeur van de gegevens binden (zie de punten 2.1 en 2.2 
hieronder). Dit kunnen door de Commissie vastgestelde modelcontractbepalingen zijn en, 
waar het om doorgiften tussen de verschillende entiteiten van een multinationaal 
bedrijfsconcern gaat, door de gegevensbeschermingsautoriteiten toegelaten bindende 
bedrijfsvoorschriften; of 

- zich baseert op een van de afwijkingen die uitdrukkelijk zijn opgenomen in de punten a) 
tot en met f), van artikel 26, lid 1, van Richtlijn 95/46/EG (zie punt 2.3 hieronder). 

In vergelijking met adequaatheidsbesluiten die het resultaat zijn van de algemene beoordeling 
van het systeem van een bepaald derde land en die in beginsel betrekking kunnen hebben op 
alle doorgiften naar dat systeem, hebben deze alternatieve gronden voor doorgifte zowel een 
beperktere werkingssfeer (aangezien zij uitsluitend van toepassing zijn op bepaalde 
gegevensstromen) als een breder bereik (aangezien zij niet noodzakelijkerwijs beperkt zijn tot 
een specifiek land). Zij zijn van toepassing op gegevensstromen die op gang worden gebracht 
door bepaalde entiteiten die hebben besloten gebruik te maken van een van de mogelijkheden 
die artikel 26 van Richtlijn 95/46/EG biedt. Bovendien dragen exporteurs en importeurs van 
gegevens de verantwoordelijkheid ervoor te zorgen dat de doorgifte in overeenstemming met 
de eisen van de richtlijn is wanneer zij hun doorgifte op dergelijke gronden baseren, 
aangezien zij zich niet kunnen beroepen op de vaststelling in een besluit van de Commissie 
dat het derde land een passend beschermingsniveau waarborgt. 

2.1. Contractuele oplossingen 

Zoals benadrukt door de Groep artikel 29 moeten contractuele bepalingen, willen zij 
voldoende waarborgen bieden in de zin van artikel 26, lid 2, van Richtlijn 95/46/EG "in 
afdoende mate een tegenwicht bieden voor het ontbreken van een algemeen passend 
beschermingsniveau door in elk concreet geval bescherming te bieden op de belangrijkste 
punten waaraan in dat geval iets schort"^. Met het oog op de bevordering van het gebruik van 
dergelijke instrumenten bij internationale doorgiften heeft de Commissie, in overeenstemming 
met artikel 26, lid 4, van de richtlijn, vier reeksen modelcontractbepalingen goedgekeurd die 
geacht worden te voldoen aan de eisen van artikel 26, lid 2, van de richtlijn. Twee reeksen 
modelbepalingen hebben betrekking op doorgiften tussen voor de verwerking 
verantwoordelijken^*^, terwijl het bij de andere twee reeksen modelbepalingen om doorgiften 
gaat tussen een voor de verwerking verantwoordelijke en een verwerker die zijn instructies 


^ Zie Groep artikel 29: "Doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 
26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 16. 

Beschikking 2001/497/EG van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor 
de doorgifte van persoonsgegevens naar derde landen krachtens Richtlijn 95/46/EG, PB L 181 van 4.7.2001, 
blz. 19, en Beschikking 2004/915/EG van de Commissie van 27 december 2004 tot wijziging van 
Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de 
doorgifte van persoonsgegevens naar derde landen, PB L 385 van 29.12.2004, blz. 74. 
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uitvoert^'. Elk van deze reeksen modelbepalingen bevat de betreffende verplichtingen van de 
exporteurs en importeurs van gegevens. Daarbij gaat het onder meer om verplichtingen met 
betrekking tot, beveiligingsmaatregelen, informatie aan de betro kk ene in geval van doorgifte 
van gevoelige gegevens, mededeling aan de gegevensexporteur van verzoeken om toegang 
van de rechtshandhavingsinstanties van derde landen of van accidentele of ongeoorloofde 
toegang, en de rechten van de betro kk enen op toegang, rectificatie en uitwissing van hun 
persoonsgegevens, alsmede om regels inzake compensatie voor de betrokkene in geval van 
schade als gevolg van een inbreuk door een van beide partijen op de 
modelcontractbepalingen. De modelbepalingen schrijven ook voor dat betro kk enen uit de EU 
de mogelijkheid hebben om zich bij een gegevensbeschermingsautoriteit en/of een gerecht 
van de lidstaat waar de gegevensexporteur is gevestigd, te beroepen op de rechten die zij aan 
de contractuele bepalingen als derde-begunstigde ontlenen . Deze rechten en verplichtingen 
moeten in contractuele bepalingen worden opgenomen omdat er, in tegenstelling tot de 
situatie waarin de Commissie heeft vastgesteld dat een passend beschermingsniveau wordt 
gewaarborgd, niet van kan worden uitgegaan dat de gegevensimporteur in het derde land 
onderworpen is aan een passend systeem van toezicht en handhaving van de voorschriften 
inzake gegevensbescherming. 

Aangezien besluiten van de Commissie in de lidstaten in al hun onderdelen verbindend zijn, 
betekent de opname van modelcontractbepalingen in een overeenkomst dat de nationale 
autoriteiten in beginsel verplicht zijn om deze bepalingen te accepteren. Bijgevolg mogen zij 
de doorgifte van gegevens aan een derde land niet louter op grond van het feit dat deze 
modelcontractbepalingen onvoldoende waarborgen bieden, weigeren. Dit betekent niet dat 
deze autoriteiten niet bevoegd zijn om deze bepalingen te onderzoeken in het licht van de 
eisen die het Hof in het arrest Schrems heeft geformuleerd. In geval van twijfel, moeten zij 
een zaak voorleggen aan een nationale rechter, die op zijn beurt het Hof van Justitie kan 
verzoeken om een prejudiciële beslissing. Hoewel in de meeste lidstaten de wetgeving ter 
omzetting van Richtlijn 95/45/EG niet voorschrijft dat voor doorgifte eerst een nationale 
vergunning moet worden gegeven, handhaven sommige lidstaten een systeem van 
kennisgeving en/of voorafgaande toestemming voor het gebruik van 
modelcontractbepalingen. Wanneer zij dat doen, moeten de nationale 
gegevensbeschermingsautoriteiten de bepalingen in de betreffende overeenkomst vergelijken 
met de modelcontractbepalingen en nagaan of er geen wijzigingen zijn aangebracht . Indien 


Beschikking 2002/16/EG van de Commissie van 27 december 2001 betreffende modelcontractbepalingen 
voor de doorgifte van persoonsgegevens naar in derde landen gevestigde verwerkers krachtens Richtlijn 
95/46/EG van het Europees Parlement en de Raad, PB L 6 van 10.1.2002, blz. 52, en Besluit 2010/87/EU 
van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van 
persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het 
Europees Parlement en de Raad, PB L 39 van 12.2.2010, blz. 5. De beschikking, die is ingetrokken bij het 
besluit, is alleen van toepassing is op overeenkomsten die vóór 15 mei 2010 zijn gesloten. 

Zie bijvoorbeeld overweging 6 van Beschikking 2004/915/EG van de Commissie en punt V van de bijlage 
daarbij; punt 7 van de bijlage bij Beschikking 2010/87/EU van de Commissie. 

Er zij op gewezen dat in het voorstel voor de algemene verordening gegevensbescherming (COM(2012)11 
final) is bepaald dat doorgiften op grond van modelcontractbepalingen of bindende bedrijfsvoorschriften 
geen verdere toestemming behoeven voor zover zij door de Commissie of na de beoogde 
conformiteitstoetsing zijn vastgesteld. 
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de bepalingen ongewijzigd zijn opgenomen'"^, wordt de toestemming in beginsel^^ 
automatisch verleend^^. Zoals hieronder verder wordt uitgelegd (zie punt 2.4), betekent dit 
niet dat de gegevensexporteur niet eventueel aanvullende maatregelen moet nemen, met name 
naar aanleiding van informatie van de gegevensimporteur over wijzigingen in het 
rechtssysteem van het derde land die deze laatste kunnen beletten zijn verplichtingen uit 
hoofde van de overeenkomst na te komen. Bij de toepassing van de modelcontractbepalingen 
vallen zowel de exporteurs als - omdat zij zichzelf aan de overeenkomst hebben onderworpen 
- de importeurs van gegevens onder het toezicht van de gegevensbeschermingsautoriteiten. 

De vaststelling van modelcontractbepalingen betekent niet dat bedrijven geen beroep kunnen 
doen op andere instrumenten, zoals ad hoe contractuele regelingen, om aan te tonen dat hun 
doorgiften plaatsvinden met voldoende waarborgen in de zin van artikel 26, lid 2, van 
Richtlijn 95/46/EG. Overeenkomstig artikel 26, lid 2, van de richtlijn moeten deze per geval 
door de nationale autoriteiten worden goedgekeurd. Sommige 
gegevensbeschermingsautoriteiten hebben op dit gebied richtsnoeren ontwikkeld, onder meer 
in de vorm van standaardovereenkomsten of gedetailleerde regels die bij het opstellen van de 
bepalingen inzake de doorgifte van gegevens in acht moeten worden genomen. De meeste 
overeenkomsten waarvan ondernemingen zich thans voor hun internationale doorgifte van 
gegevens bedienen, zijn echter gebaseerd op door de Commissie goedgekeurde 
modelcontractbepalingen' ’. 

2.2. Overdrachten binnen een groep ondernemingen 

Een multinational kan bindende bedrijfsvoorschriften vaststellen om persoonsgegevens in 
overeenstemming met de vereisten van artikel 26, lid 2, van Richtlijn 95/46/EG, vanuit de EU 


Ook wanneer gebruik van modelcontractbepalingen wordt gemaakt, kunnen partijen overeenkomen om 
andere clausules toe te voegen, mits deze niet direct of indirect in tegenspraak zijn met de door de 
Commissie goedgekeurde bepalingen of afbreuk doen aan de fundamentele rechten of vrijheden van de 
betrokkenen. Zie Europese Commissie, "Frequently Asked Questions Relating to Transfers of Personal Data 
from the EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de 
EU/EER naar derde landen) (FAQ B. 1.9), blz. 28 (beschikbaar op de volgende website: 
http://ec.europa.eu/iustice/policies/privacv/docs/international transfers faq/international transfers faq.pdf ). 
Indien een gegevensbeschermingsautoriteit twijfels heeft over de verenigbaarheid van de 
modelcontractbepalingen met de vereisten van de richtlijn, dient zij de kwestie voor te leggen aan een 
nationale rechter, die vervolgens het Hof van Justitie een prejudiciële vraag kan stellen (zie de punten 51, 
52, 64 en 65 van het arrest Schrems). 

De Groep artikel 29 heeft een specifieke procedure vastgesteld voor samenwerking tussen 
gegevensbeschermingsautoriteiten voor de goedkeuring van de contractuele bepalingen die een 
onderneming in verschillende lidstaten wenst te gebruiken. Zie Groep artikel 29, "Working Document 
Setting Forth a Co-Operation Procedure for Issuing Common Opinions on 'Contractual clauses' Considered 
as compliant with the EC Model Clause" (Werkdocument betreffende een samenwerkingsprocedure voor 
het uitbrengen van gemeenschappelijke standpunten over "contractbepalingen" die geacht worden overeen te 
stemmen met de EG modelbepaling) (WP 226), 26 november 2014. Zie ook punt VII van de bijlage bij 
Beschikking 2004/915/EG van de Commissie, en punt 10 van de bijlage bij Besluit 2010/87/EU van de 
Commissie. 

Zie Groep artikel 29, "Working Document Setting Forth a Co-Operation Procedure for Issuing Common 
Opinions on 'Contractual clauses' Considered as compliant with the EC Model Clause" (Werkdocument 
betreffende een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over 
"contractbepalingen" die geacht worden overeen te stemmen met de EG modelbepaling) (WP 226), 26 
november 2014, blz. 2. 
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door te geven naar buiten de EU gevestigde dochterondernemingen. Een dergelijke 
gedragscode biedt alleen een basis voor doorgiften binnen de groep ondernemingen. 

Het gebruik van bindende bedrijfsvoorschriften maakt het dus mogelijk om persoonsgegevens 
wereldwijd vrij te verplaatsen tussen de verschillende entiteiten van een groep van 
ondernemingen - zonder de noodzaak contractuele regelingen te treffen tussen iedere 
vennootschapsrechtelijke entiteit - en tegelijkertijd ervoor te zorgen dat overal binnen de 
groep hetzelfde hoge niveau van bescherming van persoonsgegevens in acht wordt genomen 
door middel van een enkele reeks bindende en afdwingbare regels. Het hebben van een enkele 
reeks regels schept een eenvoudiger en doeltreffender systeem, dat personeel gemakkelijker 
kan uitvoeren en voor betro kk enen gemakkelijker te begrijpen is. Om bedrijven te helpen bij 
het opstellen van bindende bedrijfsvoorschriften heeft de Groep artikel 29 nauwkeurig de 
materiële vereisten (bijvoorbeeld beperking van het doel, beveiliging van de verwerking, 
transparante informatie aan de betrokkenen, beperking van verdere doorgifte buiten de groep, 
individuele rechten van toegang, rectificatie en verzet) en de procedurele vereisten 
(bijvoorbeeld controles, monitoring van de naleving, behandeling van klachten, 
samenwerking met gegevensbeschermingsautoriteiten, aansprakelijkheid en rechtsmacht) 
voor bindende bedrijfsvoorschriften op basis van de EU-normen voor gegevensbescherming 
omschreven . Deze regels zijn niet alleen bindend voor de leden van de groep 
ondernemingen, maar de naleving ervan kan ook, net als bij modelcontractbepalingen, worden 
af gedwongen in de EU: natuurlijke personen wier gegevens worden verwerkt door een entiteit 
van de groep hebben als derde-begunstigden het recht om de naleving van bindende 
bedrijfsvoorschriften af te dwingen door bij een gegevensbeschermingsautoriteit een klacht in 
te dienen en bij een gerecht in een lidstaat een vordering in te stellen. Bovendien moet in de 
bindende bedrijfsvoorschriften een entiteit binnen de EU worden aangewezen die de 
aansprakelijkheid op zich neemt voor inbreuken op de regels door elk lid van de groep buiten 
de EU dat aan deze regels is gebonden. 

Krachtens de wetgeving ter omzetting van de richtlijn van de meeste lidstaten moet de 
doorgifte van gegevens op basis van bindende bedrijfsvoorschriften worden goedgekeurd 
door de gegevensautoriteiten in iedere lidstaat waarvandaan de multinationale onderneming 
gegevens wil doorgeven. Om het proces te vergemakkelijken en te bespoedigen, alsook om 
een en ander voor de aanvragers eenvoudiger te maken, heeft de Groep artikel 29 een 
standaardaanvraagformulier^^ en een speciale procedure voor samenwerking tussen de 


Zie Groep artikel 29, "Working Document setting up a table with the elements and principles to be found in 
Binding Corporate Rules" (werkdocument met een overzicht van de elementen en beginselen voorkomend 
in bindende bedrijfsvoorschriften) (WP 153), 24 juni 2008; "Working Document setting up a framework for 
the structure of Binding Corporate Rules" (werkdocument met een kader voor de structuur van bindende 
bedrijfsvoorschriften) (WP 154), 24 juni 2008; en "Working Document on Frequently Asked Questions 
(FAQs) related to Binding Corporate Rules" (werkdocument met veelgestelde vragen (FAQ’s) in verband 
met bindende bedrijfsvoorschriften) (WP 155), 24 juni 2008. 

Groep artikel 29, Standard Application for Approval of Binding Corporate Rules for the Transfer of 
Personal Data" (standaardaanvraagformulier voor goedkeuring van bindende bedrijfsvoorschriften 
betreffende de doorgifte van persoonsgegevens) (WP 133), 10 januari 2007. 
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betro kk en gegevensbeschermingsautoriteiten opgesteld. Deze procedure omvat de 
aanwijzing van een "leidende autoriteit" die verantwoordelijk is voor de afwikkeling van de 
goedkeuringsprocedure. 

2.3. Afwijkingen 

Bij ontstentenis van een besluit waarbij het beschermingsniveau passend wordt verklaard 
overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EG en ongeacht of er 
modelcontractbepalingen en/of bindende bedrijfsvoorschriften worden toegepast, kunnen 
persoonsgegevens toch nog worden doorgegeven aan in een derde land gevestigde entiteiten 
voor zover een van de afwijkingen als vermeld in artikel 26, lid 1 van Richtlijn 95/46/EG van 
toepassing is^^ 

- de betro kk ene heeft zijn ondubbelzinnige toestemming gegeven voor de voorgestelde 
doorgifte; 

- de doorgifte is noodzakelijk voor de uitvoering van een overeenkomst tussen de 
betro kk ene en de voor verwerking verantwoordelijke of voor de uitvoering van op 
verzoek van de betro kk ene genomen precontractuele maatregelen; 

- de doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang van 
de betro kk ene tussen de voor de verwerking verantwoordelijke en een derde gesloten 
of te sluiten overeenkomst; 

- de doorgifte is noodzakelijk of wettelijk verplicht vanwege een zwaarwegend 

22 

algemeen belang of voor de vaststelling, de uitoefening of de verdediging van een 
recht in rechte; 

- de doorgifte is noodzakelijk ter vrijwaring van het vitale belang van de betrokkene. 


Groep artikel 29, Working Document Setting Forth a Co-Operation Procedure for Issuing Common 
Opinions on Adequate Safeguards Resulting From 'Binding Corporate Rules'" (werkdocument betreffende 
een samenwerkingsprocedure voor het uitbrengen van gemeenschappelijke standpunten over de gepastheid 
van door "bindende bedrijfsvoorschriften" geboden waarborgen) (WP 107), 14 april 2005. 

Voor zover andere bepalingen van Richtlijn 95/46/EG aanvullende vereisten bevatten die voor de toepassing 
van deze afwijkingen relevant zijn (bijvoorbeeld de beperkingen van artikel 8 voor de verwerking van 
gevoelige gegevens), moeten deze, zoals de Groep artikel 29 heeft benadrukt, worden geëerbiedigd. Zie 
Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8. Zie ook Europese 
Commissie, "Erequently Asked Questions Relating to Transfers of Personal Data from the EU/EEA to Third 
Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde 
landen) (EAQ D.2), blz. 50. 

Het kan daarbij bijvoorbeeld gaan om de doorgifte van gegevens tussen belasting- of douanediensten of 
tussen voor de sociale zekerheid bevoegde diensten (zie overweging 58 van Richtlijn 95/46/EG). Voor 
doorgiften tussen toezichthoudende instanties in de financiële-dienstensector kan ook gebruik worden 
gemaakt van de afwijking. Zie Groep artikel 29, "Werkdocument; Doorgifte van persoonsgegevens naar 
derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" 
(WP 12), 24 juli 1998, blz. 25. 
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- de doorgifte geschiedt vanuit een openbaar register dat krachtens wettelijke of 
bestuursrechtelijke bepalingen bedoeld is om het publiek voor te lichten en dat door 
een ieder dan wel door iedere persoon die zich op een gerechtvaardigd belang kan 
beroepen, kan worden geraadpleegd, voor zover in het betro kk en geval is voldaan aan 
de wettelijke voorwaarden voor raadpleging. 

Op deze gronden is een afwijking mogelijk van het algemene verbod op de doorgifte van 
persoonsgegevens naar entiteiten die zijn gevestigd in een derde land dat geen passend 
beschermingsniveau biedt. De gegevensexporteur hoeft er niet voor te zorgen dat de 
gegevensimporteur passende bescherming biedt, en hij zal gewoonlijk geen voorafgaande 
toestemming voor de doorgifte hoeven te verkrijgen van de relevante nationale autoriteiten. 

Niettemin is de Groep artikel 29 van mening dat deze afwijkingen vanwege hun uitzonderlijke 

'^'1 

karakter strikt moeten worden uitgelegd . 

De Groep artikel 29 heeft verschillende niet-bindende richtsnoeren gepubliceerd betreffende 
de toepassing van artikel 26, lid 1, van Richtlijn 95/46/EG . Deze omvatten een aantal "beste 
praktijken" die zijn geformuleerd om de handhavingsmaatregelen van de 
gegevenbeschermingsautoriteiten te structureren . In het bijzonder beveelt de Groep aan dat 
doorgiften van persoonsgegevens die als veel voorkomende, massale of structurele doorgiften 
kunnen worden beschouwd, met voldoende waarborgen en zo mogelijk binnen een specifiek 
juridisch kader, zoals modelcontractbepalingen of bindende bedrijfsvoorschriften, worden 
verricht^^. 

In de onderhavige mededeling zal de Commissie alleen op de afwijkingen ingaan die na de 
ongeldigverklaring van de Veiligehavenbeschikking bijzonder relevant lijken voor doorgiften 
in een commercieel kader. 

2.3.1. Doorgiften die noodzakelijk zijn voor de uitvoering van een overeenkomst of voor 
de uitvoering van op verzoek van de betrokkene genomen precontractuele maatregelen 
(artikel 26, lid 1, onder b)) 


Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 7 en 17. 

Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de 
artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming (WP 12), 24 juli 1998; 
"Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 
24 oktober 1995" (WP 114), 25 november 2005. Zie ook Europese Commissie, "Erequently Asked 
Questions Relating to Transfers of Personal Data from the EU/EEA to Third Countries" (Vaak gestelde 
vragen over de doorgifte van persoonsgegevens uit de EU/EER naar derde landen) (EAQ D.1 tot en met 
D.9), blz. 48 tot en met 54. 

Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 8 tot en met 10. 

Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 9. Volgens de werkgroep 
mogen massale of veel voorkomende doorgiften alleen op basis van een afwijking worden uitgevoerd 
wanneer toepassing van modelcontractbepalingen of bindende bedrijfsvoorschriften in de praktijk 
onmogelijk is en de risico’s voor de betrokkene gering zijn (bv. internationale overschrijvingen). Zie ook 
Europese Commissie, "Erequently Asked Questions Relating to Transfers of Personal Data from the 
EU/EEA to Third Countries" (Vaak gestelde vragen over de doorgifte van persoonsgegevens uit de EU/EER 
naar derde landen) (EAQ D.1), blz. 49. 
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Deze afwijking zou bijvoorbeeld van toepassing kunnen zijn in het kader van een 
hotelreservering of wanneer informatie inzake betalingen wordt doorgegeven naar een derde 
land ten behoeve van een bankoverschrijving. De Groep artikel 29 is echter van mening dat er 
in elk van deze gevallen sprake moet zijn van een "nauw en wezenlijk verband" 
respectievelijk een "rechtstreeks en objectief verband" tussen de betro kk ene en het doel van 
de overeenkomst of de precontractuele maatregelen (noodzakelijkheidstoets) . Ook kan de 
afwijking niet worden toegepast op de doorgifte van aanvullende informatie die niet 
noodzakelijk is voor de doorgifte, of op de doorgifte voor een ander doel dan de uitvoering 
van de overeenkomst (bijvoorbeeld follow-up marketing) . Wat de precontractuele 
maatregelen betreft, heeft de Groep artikel 29 zich op het standpunt gesteld dat deze alleen 
betrekking hebben op contacten die door toedoen van de betro kk ene zijn ontstaan (zoals een 
verzoek om informatie over een bepaalde dienst) en niet op die welke voortvloeien uit 
marketingdoeleinden van de voor de verwerking verantwoordelijke . 

2.3.2. De doorgifte is noodzakelijk voor de sluiting of de uitvoering van een in het belang 
van de betrokkene tussen de voor de verwerking verantwoordelijke en een derde 
gesloten of te sluiten overeenkomst (artikel 26, lid 1, onder c)) 

Deze afwijking zou bijvoorbeeld van toepassing kunnen zijn wanneer de betro kk ene de 
begunstigde van een internationale bankoverschrijving is, of wanneer een reisbureau de 
gegevens inzake een geboekte vlucht naar een luchtvaartmaatschappij stuurt. De 
noodzakelijkheidstoets moet ook hier worden toegepast en vergt in dit geval een nauw en 
wezenlijk verband tussen de belangen van de betro kk ene en het doel van de overeenkomst. 

2.3.3. De doorgifte is noodzakelijk of wettelijk verplicht voor de vaststelling, de 
uitoefening of de verdediging van een recht in rechte (artikel 26, lid 1, onder d)) 

Deze afwijking kan bijvoorbeeld van toepassing zijn wanneer een bedrijf gegevens moet 
doorgeven om zich te verdedigen tegen een rechtsvordering, of om zelf een dergelijke 
vordering in rechte of ten overstaan van een overheidsinstantie te doen gelden. Net als bij de 
twee voorgaande afwijkingen moet hier de noodzakelijkheidstoets plaatsvinden : er moet een 


Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 13. Zie ook "Opinion 6/2002 
on transmission of passenger manifest information and other data from airlines to the United States" (Advies 
6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van 
luchtvaartmaatschappijen aan de Verenigde Staten" (WP 66), 24 oktober 2002. 

Groep artikel 29, "Werkdocument; Doorgifte van persoonsgegevens naar derde landen; toepassing van de 
artikelen 

25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. 
"Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 
24 oktober 1995" (WP 114), 25 november 2005, blz. 13. 

Groep artikel 29, "Werkdocument; Doorgifte van persoonsgegevens naar derde landen; toepassing van de 
artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. 
Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 15. In het kader van een 
arbeidsverhouding kan de afwijking bijvoorbeeld niet worden toegepast om alle personeelsdossiers door te 
geven naar het in een derde land gevestigde moederbedrijf vanwege eventuele toekomstige rechtszaken. 
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nauw verband zijn met het geschil of de gerechtelijke procedure (waarbij het ook om een 
administratieve procedure kan gaan). 


Volgens de Groep artikel 29 kan de afwijking alleen kan worden toegepast indien de 
eventuele op dit soort doorgiften toepasselijke internationale regels inzake samenwerking in 
strafrechtelijke en burgerlijke procedures in acht zijn genomen, met name die welke 

o 1 

voortvloeien uit het Verdrag van Den Haag van 18 maart 1970 ("bewijsverdrag") . 

2.3.4. Ondubbelzinnige voorafgaande toestemming door de betrokkene voor de beoogde 
doorgifte (artikel 26, lid 1, onder a)) 

Hoewel toestemming kan worden gebruikt als basis voor de doorgifte van gegevens, moet met 
een aantal overwegingen rekening worden gehouden. Aangezien toestemming moet worden 
verleend voor de beoogde doorgifte, vergt dit voorafgaande toestemming voor de doorgifte in 
kwestie (of een bepaalde categorie doorgiften). Wanneer de toestemming via internetsites 
wordt gevraagd, beveelt de Groep artikel 29 het gebruik aan van aan te vinken vakjes (in 

'i-y 

plaats van reeds aangevinkte vakjes) . Aangezien de toestemming ondubbelzinnig dient te 
zijn, zou bij iedere twijfel of de toestemming daadwerkelijk is gegeven, de afwijking niet van 
toepassing zijn. Dit komt er meestal op neer dat deze afwijking niet geldt voor vele situaties 
waarin toestemming op zijn hoogst geacht wordt impliciet te zijn gegeven (bijvoorbeeld 
wanneer iemand van een doorgifte op de hoogte is gebracht en geen bezwaar heeft gemaakt). 
Omgekeerd zou de afwijking nuttig kunnen zijn in gevallen waarin degene die de gegevens 
doorgeeft, rechtstreeks 

contact heeft met de betro kk ene en waarin de vereiste informatie gemakkelijk kan worden 
verstrekt en ondubbelzinnige toestemming kan worden verkregen . 

Bovendien moet het volgens artikel 2, onder h), van Richtlijn 95/46/EG bij toestemming om 
een vrije, specifieke en op informatie berustende wilsuiting gaan. Volgens de Groep artikel 29 
houdt de eerste verplichting in dat iedere "druk" de toestemming ongeldig kan maken. Dit is 
met name relevant in het kader van de arbeidsverhouding, waar de verhouding van 
ondergeschiktheid en de inherente afhankelijkheid van werknemers in het algemeen vragen 
oproepen in geval van een beroep op toestemming^^. Meer in het algemeen kan toestemming 


Haags Verdrag inzake de verkrijging van bewijs in het buitenland in burgerlijke en in handelszaken, op 18 
maart 1970 voor ondertekening opengesteld, 23 U.S.T. 2555, 847 U.N.T.S. 241. Dit verdrag heeft 
bijvoorbeeld betrekking op bewijsgaring voorafgaand aan de behandeling van de zaak ("pre-trial discovery") 
of op verzoeken van een rechterlijke instantie van een staat aan de bevoegde autoriteit van een andere staat 
om bewijs dat bestemd is voor gebruik in gerechtelijke procedures in de verzoekende staat. 

Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 10, met verwijzing naar 
"Advies 5/2004 betreffende ongewenste communicatie voor marketingdoeleinden in de context van 
artikel 13 van Richtlijn 2002/58/EG" (WP 90), 27 februari 2004, punt 3.2. 

Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de 
artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. 
Groep artikel 29, "Advies 8/2001 over de verwerking van persoonsgegevens in het kader van de 
arbeidsverhouding" (WP 48), 13 september 2001, blz. 3, 23 en 26. Volgens de groep zou zich baseren op 
toestemming moeten worden beperkt tot gevallen waarin de werknemer een echte vrije keuze heeft en 
nadien de mogelijkheid heeft om de toestemming zonder nadeel in te trekken. Zie ook Groep artikel 29, 
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van een betrokkene die niet de gelegenheid heeft gehad een echte keuze te maken of die voor 
een voldongen feit is gesteld, niet als geldig worden beschouwd^^. 

Het is van groot belang is dat de betro kk enen van tevoren naar behoren wordt meegedeeld dat 
de gegevens kunnen worden doorgegeven naar landen buiten de EU, naar welke derden 
landen dat is en onder welke voorwaarden die doorgifte mag plaatsvinden (doel, identiteit en 
gegevens van de ontvanger (s), enz.). In deze informatie moet worden gewezen op het 
specifieke risico dat de gegevens van de betro kk ene worden doorgegeven naar een derde land 
dat onvoldoende bescherming biedt^^. De intrekking door de betrokkene van zijn toestemming 
heeft voorts, zoals opgemerkt door de Groep artikel 29, geen terug werkende kracht, maar 
moet in beginsel voorkómen dat wordt doorgegaan met het verwerken van de 

'i-j 

persoonsgegevens . In het licht van deze beperkingen is de Groep artikel 29 van mening dat 
toestemming waarschijnlijk geen passende langetermijnbasis biedt voor voor de verwerking 
verantwoordelijken in geval van structurele doorgiften^^. 

2.4. Samenvatting van alternatieve gronden voor de doorgifte van 
persoonsgegevens 

Uit het bovenstaande volgt dat ondernemingen gebruik kunnen maken van een aantal 
verschillende alternatieve instrumenten voor de internationale doorgifte van gegevens naar 
derde landen die niet worden geacht een passend beschermingsniveau te bieden in de zin van 
artikel 25, lid 2, van Richtlijn 95/46/EG. Naar aanleiding van het arrest Schrems heeft de 
Groep artikel 29 met name duidelijk gemaakt dat zolang haar evaluatie nog voortduurt en 
onverminderd de bevoegdheden van de gegevens autoriteiten om individuele gevallen te 
onderzoeken, voor de doorgifte van gegevens naar de V.S. gebruik kan worden gemaakt van 
modelcontractbepalingen en bindende bedrijfsvoorschriften . De sector heeft zijnerzijds op 
verschillende manieren gereageerd op het arrest, onder meer door de doorgifte van gegevens 
op deze alternatieve instrumenten te baseren^®. 


"Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van Richtlijn 95/46/EG van 
24 oktober 1995" (WP 114), 25 november 2005, blz. 11. 

Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11. Zie ook "Opinion 6/2002 
on transmission of passenger manifest information and other data from airlines to the United States" 
(Advies 6/2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van 
luchtvaartmaatschappijen naar de Verenigde Staten) (WP 66), 24 oktober 2002. 

Groep artikel 29, "Werkdocument: Doorgifte van persoonsgegevens naar derde landen: toepassing van de 
artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming" (WP 12), 24 juli 1998, blz. 24. 
Groep artikel 29, "Advies 15/2011 over de definitie van 'toestemming'" (WP 187), 13 juli 2011, blz. 9. 

Groep artikel 29, "Werkdocument over een gemeenschappelijke interpretatie van artikel 26, lid 1, van 
Richtlijn 95/46/EG van 24 oktober 1995" (WP 114), 25 november 2005, blz. 11. 

Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8). 

Een aantal multinationale ondernemingen heeft verklaard dat zij gegevens aan de V.S. op basis van 
alternatieve instrumenten doorgeven. Zie bijvoorbeeld de verklaringen van Microsoft 

( http://blogs.microsoft.eom/on-the-issues/2015/10/06/a-message-to-our-customers-about-eu-us-safe-harbor/ ) or 

Salesforce ( http://www.salesforce.com/companv/privacv/data-processing-addendum-faq.isp) . Andere 
Amerikaanse bedrijven, zoals Oracle, hebben verklaard dat zij gebruikers van clouddiensten de mogelijkheid 
bieden hun gegevens in Europa op te slaan, zodat deze niet worden doorgegeven voor opslag elders: 
http://www.irishtimes.com/business/technologv/oracle-keeps-european-data-within-its-eu-based-data-centres- 

1.2408505 ?mode=print&ot=example.AiaxPageLavout.ot 
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Er moet echter op twee belangrijke voorwaarden worden gewezen. Om te beginnen zij eraan 
herinnerd dat, ongeacht de specifieke rechtsgrondslag die word ingeroepen, gegevens alleen 
rechtmatig naar een derde land kunnen worden doorgegeven wanneer de gegevens in eerste 
instantie door de in de EU gevestigde voor de verwerking verantwoordelijke zijn verzameld 
en verwerkt overeenkomstig de toepasselijke nationale bepalingen ter omzetting van Richtlijn 
95/46/EG. In de richtlijn wordt uitdrukkelijk bepaald dat bij de verwerking die plaatsvindt 
vóór de doorgifte, net als bij de doorgifte zelf, de bepalingen die door de lidstaten ter 
uitvoering van de andere bepalingen van de richtlijn zijn vastgesteld, volledig in acht moeten 
worden genomen'^V In de tweede plaats is het, bij gebreke van een vaststelling door de 
Commissie dat een derde land een passend beschermingsniveau waarborgt, de 
verantwoordelijkheid van de voor de verwerking verantwoordelijken om ervoor te zorgen dat 
hun doorgifte van gegevens plaatsvindt met voldoende waarborgen in de zin van artikel 26, 
lid 2, van de richtlijn. Deze beoordeling moet worden uitgevoerd met inachtneming van alle 
omstandigheden die op de betro kk en doorgifte van invloed zijn. Met name bepalen zowel de 
modelcontractbepalingen als de bindende bedrijfsvoorschriften dat indien de 
gegevensimporteur redenen heeft om aan te nemen dat de in het ontvangende land 
toepasselijke wetgeving hem de nakoming van zijn verplichtingen kan beletten, hij de 
gegevensexporteur in de EU daarvan onverwijld in kennis stelt. In een dergelijke situatie is 
het de taak van de exporteur om passende maatregelen te nemen om voor de bescherming van 
de persoonsgegevens te zorgen . Deze kunnen variëren van technische, organisatorische, 
juridische of aan het bedrijfsmodel gerelateerde maatregelen"^^ tot de mogelijkheid om de 
doorgifte van gegevens op te schorten of de overeenkomst op te zeggen. Rekening houdend 
met alle omstandigheden van de doorgifte, moeten gegevensexporteurs dus eventueel zorgen 
voor extra waarborgen ter aanvulling van die waarin de toepasselijke rechtsgrondslag voor 
doorgifte voorziet, teneinde te voldoen aan de eisen van artikel 26, lid 2, van de richtlijn. 

De naleving van dergelijke verplichtingen zal uiteindelijk van geval tot geval moeten worden 
beoordeeld door de gegevensbeschermingsautoriteiten als onderdeel van de uitoefening van 
hun functies op het gebied van toezicht en handhaving, onder meer in het kader van de 
goedkeuring van contractuele regelingen en bindende bedrijfsvoorschriften of op basis van 
individuele klachten. Terwijl sommige gegevensbeschermingsautoriteiten twijfels hebben 
geuit over de mogelijkheid om voor trans-Atlantische gegevensstromen gebruik te maken van 
instrumenten voor doorgifte zoals modelcontractbepalingen en bindende 
bedrijfsvoorschriften"^"^, heeft de Groep artikel 29 in haar verklaring naar aanleiding van het 


Zie overweging 60 en artikel 25, lid 1, van Richtlijn 95/46/EG. 

Zie bijvoorbeeld bepaling 5 van de bijlage bij Besluit 2010/87/EU van de Commissie, en "Working 
Document setting up a framework for the structure of Binding Corporate Rules" (werkdocument met een 
kader voor de structuur van bindende bedrijfsvoorschriften) (WP 154), 24 juni 2008, blz. 8, van de Groep 
artikel 29. 

Zie bv. de richtsnoeren van het Agentschap van de Europese Unie voor netwerk- en informatiebeveiliging 
(Enisa: https://resilience.enisa.europa.eu/article- 13/guideline-for-minimum-security- 
measures/ Article_13a_ENISA_Technical_Guideline_On_Security_Measures_v2_0.pdf. 

** Zie bijvoorbeeld de nota met het standpunt van de Conferentie inzake gegevensbescherming van de Duitse 
autoriteiten voor gegevensbescherming op federaal en nationaal niveau op 26.10.2015: 

https://www.datenschutz.hessen.de/ft-europa.htm#entrv4521 . In de standpuntnota wordt benadrukt dat het 
arrest Schrems "strikte materiële eisen" bevat, die zowel de Commissie als de 

gegevensbeschermingsautoriteiten moeten naleven en wordt gesteld dat de Duitse 
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arrest Schrems aangekondigd dat zij haar analyse van de gevolgen van het arrest voor andere 
instrumenten voor doorgifte zal voortzetten"^^. Dit doet geen afbreuk aan de bevoegdheden van 
de gegevensbeschermingsautoriteiten om specifieke gevallen te onderzoeken en om gebruik te 
maken van hun bevoegdheden om personen te beschermen. 


3. De gevolgen van het arrest Schrems voor adequaatheidsbesluiten 

In zijn arrest doet het Hof van Justitie geen afbreuk aan de bevoegdheden van de Commissie 
krachtens artikel 25, lid 6, van Richtlijn 95/46/EG om te constateren dat een derde land 
waarborgen voor een passend beschermingsniveau biedt, mits de door het Hof gestelde eisen 
in acht worden genomen. In overeenstemming met deze vereisten verduidelijkt en detailleert 
het voorstel uit 2012 voor een algemene verordening gegevensbescherming^^ ter vervanging 
van Richtlijn 95/46/EG de voorwaarden waaronder besluiten waarbij een beschermingsniveau 
passend wordt verklaard, kunnen worden vastgesteld. In het arrest Schrems heeft het Hof 
tevens gepreciseerd dat wanneer de Commissie een besluit vaststelt waarbij een 
beschermingsniveau passend wordt verklaard, dat besluit bindend is voor alle lidstaten en hun 
organen, met inbegrip van de gegevensbeschermingsautoriteiten, totdat het wordt ingetrokken 
of nietig of ongeldig wordt verklaard door het Hof van Justitie, dat op dit gebied exclusief 
bevoegd is. De gegevensbeschermingsautoriteiten blijven bevoegd om verzoeken te 
onderzoeken in de zin van artikel 28, lid 4, van Richtlijn 95/46/EG inzake de verenigbaarheid 
van de doorgifte van gegevens met de eisen van de richtlijn (zoals uitgelegd door het Hof van 
Justitie), maar kunnen geen definitieve conclusie tre kk en. Veeleer moeten de lidstaten 
voorzien in de mogelijkheid om een zaak aanhangig te maken bij een nationale rechter, die op 
zijn beurt het Hof van Justitie om een prejudiciële beslissing kan verzoeken overeenkomstig 
artikel 267 van het Verdrag betreffende de werking van de Europese Unie (VWEU). 


gegevensbeschermingsautoriteiten de rechtmatigheid van gegevensdoorgiften op basis van alternatieve 
instrumenten (modelcontractbepalingen en bindende bedrijfsvoorschriften) zullen beoordelen en niet langer 
nieuwe toestemming zullen verlenen voor het gebruik van deze instrumenten. Tegelijkertijd hebben 
individuele Duitse gegevensbeschermingsautoriteiten duidelijk gewaarschuwd dat de alternatieve 
instrumenten voor doorgifte juridisch worden onderzocht. Zie bijvoorbeeld de standpuntnota's van de 
gegevensbeschermingsautoriteiten van Sleeswijk-Holstein: https://www.datenschutzzentrum.de/artikel/981- 
ULD-Position-Paper-on-the-Judgment-of-the-Court-of-Justice-of-the-European-Union-of-6-October-2015.- 
C-36214.html en van Rijnland-Palts: 

https://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026 Folgerungen des LfDI RLP zum EuG 
H-Urteil Safe Harbor.pdf . 

Zie de verklaring van de Groep artikel 29 van 16 oktober 2015 (aangehaald in voetnoot 8). 

Europese Commissie, voorstel voor een verordening van het Europees Parlement en de Raad betreffende de 
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende 
het vrije verkeer van die gegevens (algemene verordening gegevensbescherming). Zie ook Europees 
Parlement, wetgevingsresolutie van 12 maart 2014 inzake het voorstel voor een verordening van het 
Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de 
verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening 
gegevensbescherming), COM(2012)0011 - C7-0025/2012 - 2012/001 l(COD); Raad, voorstel voor een 
verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in 
verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens 
(algemene verordening gegevensbescherming). Voorbereiding van een algemene oriëntatie, 9565/15. Het 
voorstel bevindt zich momenteel in de laatste fase van het wetgevingsproces. 
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Bovendien heeft het Hof van Justitie expliciet bevestigd dat het gebruik van een systeem van 
zelfcertificering door een derde land (zoals in het geval van de veiligehavenbeginselen) een 
besluit inzake de gepastheid op grond van artikel 25, lid 6, van richtlijn 95/46/EG niet uitsluit, 
mits er doeltreffende detectie- en controlemechanismen zijn waarmee in de praktijk eventuele 
schendingen van de regels inzake de bescherming van persoonsgegevens, kunnen worden 
vastgesteld en bestraft. 

Aangezien de Veiligehavenbeschikking in dit opzicht onvoldoende vaststellingen bevatte, 
verklaarde het Hof van Justitie de beschikking nietig. Het is dus duidelijk dat de doorgifte van 
gegevens tussen de EU en de Verenigde Staten niet langer enkel op die basis kan worden 
verricht, dat wil zeggen uitsluitend door een beroep op de onderschrijving van de 
veiligehavenbeginselen. Aangezien de doorgifte van gegevens naar een derde land in beginsel 
verboden is indien daar geen passend beschermingsniveau wordt geboden (of in ieder geval 
de Commissie niet in een besluit overeenkomstig artikel 25, lid 6, van Richtlijn 95/46/EC 
heeft vastgesteld dat er een passend beschermingsniveau wordt geboden)'*^, zal deze alleen 
rechtmatig zijn wanneer de gegevensexporteur een beroep kan doen op een van twee 
hierboven onder punt 2 beschreven alternatieve instrumenten. Bij ontstentenis van een besluit 
waarbij een beschermingsniveau passend wordt verklaard, is het de verantwoordelijkheid van 
de gegevensexporteur - onder toezicht van de gegevensbeschermingsautoriteiten - om ervoor 
te zorgen dat met betrekking tot de betreffende gegevensoverdracht is voldaan aan de 
voorwaarden voor een beroep op (een van) deze instrumenten. 

De werkingssfeer van het arrest is beperkt tot de Veiligehavenbeschikking van de Commissie. 
Elk van de andere adequaatheidsbesluiten bevat echter een beperking van de bevoegdheden 
van de gegevensbeschermingsautoriteiten die identiek is aan artikel 3 van de 
Veiligehavenbeschikking en die het Hof ongeldig achtte"^^. De Commissie zal nu de 
noodzakelijke consequenties tre kk en uit het arrest door op korte termijn een besluit op te 
stellen, dat volgens de toepasselijke comitologieprocedure zal worden vastgesteld en dat die 
bepaling in alle bestaande adequaatheidsbesluiten zal vervangen. Ook zal de Commissie 
overgaan tot een regelmatige evaluatie van bestaande en toekomstige adequaatheidsbesluiten, 
onder meer door een periodieke gezamenlijke evaluatie van hun werking, in samenwerking 
met de bevoegde autoriteiten van het betro kk en derde land. 


4. Conclusie 


Zoals bevestigd door de Groep artikel 29, kunnen ondernemingen nog steeds gebruik maken 
van alternatieve instrumenten voor het rechtmatig doorgeven van gegevens naar derde landen 
als de Verenigde Staten. De Commissie is echter van mening dat een nieuw en solide kader 
voor de doorgifte van persoonsgegevens naar de Verenigde Staten een belangrijke prioriteit 


Zie overweging 57 van Richtlijn 95/46/EG. 

Op dit moment zijn adequaatheidsbesluiten vastgesteld met betrekking tot de volgende landen; Andorra, 
Argentinië, Canada, de Faeröer, Guemsey, het eiland Man, Israël, Jersey, Nieuw Zeeland, Zwitserland en 
Uruguay. Zie; http;//ec.europa.eu/iustice/data-protection/international-transfers/adequacv/index en.htm . 

Zie de punten 99 tot en met 104 van het arrest Schrems. 
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blijft. Met een dergelijk kader wordt er zo goed mogelijk voor gezorgd dat de 
persoonsgegevens van Europese burgers die naar de Verenigde Staten worden doorgegeven, 
effectief beschermd blijven. Het biedt ook de beste oplossing voor trans-Atlantische handel, 
aangezien het een eenvoudiger, minder omslachtig en daardoor goedkoper mechanisme voor 
doorgifte biedt, met name voor kmo’s. 

Reeds in 2013 is de Commissie begonnen met onderhandelingen met de regering van de 
Verenigde Staten over een nieuwe regeling voor trans-Atlantische doorgifte van gegevens op 
basis van haar 13 aanbevelingen^^. De wederzijdse standpunten zijn aanzienlijk nader tot 
elkaar gebracht, bijvoorbeeld wat betreft een beter toezicht en een betere handhaving van de 
veiligehavenbeginselen door respectievelijk het ministerie van Handel van de V.S. en de 
Amerikaanse Federal Trade Commission, meer transparantie voor consumenten met 
betrekking tot hun rechten inzake gegevensbescherming, eenvoudigere en goedkopere 
verhaalsmogelijkheden in geval van klachten, en duidelijkere regelgeving inzake verdere 
doorgiften van bedrijven die de Veiligehavenbeginselen hebben onderschreven naar bedrijven 
die dat niet hebben gedaan (b.v. ten behoeve van verwerking of sub verwerking). Nu de 
Veiligehavenbeschikking ongeldig is verklaard, heeft de Commissie de besprekingen met de 
Amerikaanse regering geïntensiveerd om ervoor te zorgen dat de door het Hof geformuleerde 
wettelijke vereisten worden nageleefd. De Commissie stelt zich ten doel deze besprekingen 
binnen drie maanden af te ronden. 

Totdat het vernieuwde trans-Atlantische kader is ingevoerd, moeten bedrijven een beroep 
doen op de beschikbare alternatieve instrumenten voor doorgifte. Deze optie brengt echter 
voor de exporteurs van gegevens verantwoordelijkheden met zich en de 
gegevensbeschermingsautoriteiten moeten op de inachtneming daarvan toezien. 

Wanneer de Commissie heeft vastgesteld dat een derde land een passend beschermingsniveau 
waarborgt, dan kunnen gegevensexporteurs zich voor de doorgifte van gegevens vanuit de EU 
daarop beroepen. Wanneer een dergelijke vaststelling ontbreekt, zijn de exporteurs zelf 
verantwoordelijk voor de controle of de persoonsgegevens doeltreffend worden beschermd in 
geval van het gebruik van alternatieve instrumenten. Dit kan betekenen dat zij eventueel 
passende maatregelen moeten nemen. 

De gegevensbeschermingsautoriteiten vervullen in dit opzicht een centrale rol. Als de 
belangrijkste handhavers van de grondrechten van de betro kk enen zijn de 
gegevensbeschermingsautoriteiten in volledige onafhankelijkheid, zowel verantwoordelijk 
voor als bevoegd tot het toezicht op de doorgifte van gegevens vanuit de EU naar derde 
landen. De Commissie verzoekt de verantwoordelijken voor de verwerking met de 
gegevensbeschermingsautoriteiten samen te werken, en hen zo te helpen hun rol van 
toezichthouder doeltreffend uit te voeren. De Commissie zal nauw blijven samenwerken met 
de Groep artikel 29 om voor een uniforme toepassing van de EU-wetgeving inzake 
gegevensbescherming te zorgen. 


Zie voetnoot 4 hierboven. 
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